80만 대 이상의 DrayTek 라우터들, 제로데이 익스플로잇으로 인한 위험에 처해

More than 800,000 DrayTek routers at risks due to a mysterious zero-day exploit

공격자들이 악용할 경우 일부 모델에서 DNS 세팅을 변경할 수 있는 제로데이 취약점이 DrayTek 라우터들에서 발견 되었습니다.

DrayTek은 해커들이 이미 이 취약점을 악용해 라우터를 해킹하려는 시도를 하고 있음을 인지하고 있다고 밝혔습니다.

많은 사용자들이 트위터에 이 라우터에 가해지는 사이버공격에 대해 제보했습니다. 해커들은 China Telecom의 네트워크상의 IP 주소인 38.134.121.95를 가진 서버를 가리키도록 라우터의 DNS 설정을 변경했습니다.

이는 공격자가 중간자 공격을 실행해 사용자들을 정식 사이트를 복제한 악성 사이트로 이동시켜, 사용자들의 크리덴셜을 훔치려고 시도한 것으로 추측 됩니다.

<이미지 출처 : https://securityaffairs.co/wordpress/72682/hacking/draytek-routers-zero-day.html>

DrayTek은 보안 공지를 발행해 이러한 공격에 대해 경고하고, DNS 세팅을 확인하고 올바르게 변경하는 방법을 제공했습니다.

“2018년 5월, 우리는 DrayTek 라우터들을 포함한 웹 지원 기기들을 대상으로 하는 새로운 공격에 대해 알게 되었습니다. 최근 발생하는 이 공격은 라우터의 DNS 설정을 변경하려고 시도합니다.”

“다수의 LAN 서브넷을 지원하는 라우터를 가지고 있다면, 각각의 서브넷에 대한 설정을 확인하시기 바랍니다. DNS 설정은 빈칸이거나, ISP로부터의 올바른 DNS 서버 주소 또는 당신이 의도적으로 설정한 서버의 DNS 서버 주소로 설정 되어있어야 합니다. 알려진 가짜 DNS 서버는 38.134.121.95입니다. 만약 이 주소를 보게 된다면, 당신의 라우터는 변경 된 것입니다.”

회사는 이 문제를 패치하기 위한 펌웨어 업데이트를 준비 중이라고 밝혔습니다.

DrayTek은 기기의 모델 및 앞으로 출시할 펌웨어 버전의 목록을 공개했습니다.

초기에는 피해자들이 DrayTek 라우터의 디폴트 크리덴셜을 사용하고 있는 것으로 의심했지만, 그 중 한명이 디폴트 세팅을 사용하지 않았다고 밝혔습니다. 따라서 공격자들이 제로데이 취약점을 악용하는 공격을 수행하고 있음을 알 수 있습니다.

Shodan을 통해 온라인에 노출 된 DrayTek 라우터를 검색 결과, 80만대 이상의 기기들이 온라인에 연결 되어 있었으며, 이들 중 일부는 이 익스플로잇으로 인해 손상 되었을 것입니다.

출처 :

https://securityaffairs.co/wordpress/72682/hacking/draytek-routers-zero-day.html